A capacidade de operacionalizar dados melhor do que os concorrentes provou ser uma vantagem vencedora para as empresas, então o que parecem ser discussões incessantes sobre ChatGPT e IA generativa estão rapidamente se transformando em uma onda de lançamentos de produtos "prontos para atirar e mirar" e startups iniciais sendo financiadas. Essas capacidades representam avanços de muitas ordens de magnitude se funcionarem e forem dimensionadas com segurança, precisão, objetividade e assim por diante. Isso parece os primórdios da nuvem pública, tanto em termos de exagero quanto de vantagem técnica, mas desta vez será mais difícil porque o salto é muito maior.
A Amazon Web Services (AWS) lançou o SQS em 2004, seguido pelo S3 e EC2 em 2006. Se aceitarmos isso como o início do cronograma da nuvem pública, ou quando ela se tornou amplamente utilizável, isso significa que as empresas que ainda não adotaram a nuvem pública aceitaram duas décadas de custo de oportunidade . A nuvem pública provavelmente era muito arriscada para empresas regulamentadas em 2006, mas e em 2016 ou 2026? Vimos instituições financeiras, governos e outras organizações tradicionalmente avessas a riscos adotarem a nuvem pública para alguns ou todos os seus aplicativos e dados. Os benefícios, como para aqueles que aprendem a operacionalizar seus dados e como dimensionar a tecnologia subjacente simultaneamente, foram tão grandes que qualquer um que ainda não tenha começado a adotá-los pode estar atrasado para aproveitar a vantagem que cedeu.
Ao contrário da nuvem pública, as empresas não terão décadas para avaliar e adotar recursos como IA se quiserem permanecer competitivas, uma preocupação para as empresas, já que o cronograma da IA não começa com o ChatGPT. O espaço está se movendo muito rápido, e as capacidades parecem ser muitas ordens de magnitude mais avançadas do que o que provavelmente estará disponível em tecnologias alternativas no curto prazo. A IA conversacional com interfaces de usuário familiares, como o ChatGPT, permitiu uma adoção mais rápida por um grupo mais diversificado de pessoas, sem exigir conhecimento especializado, como a nuvem pública exigiu e ainda exige. Os novos usuários acreditam que o produto é inovador, enquanto aqueles mais experientes no assunto apontam para outros avanços, se perguntando por que tantas pessoas estão prestando atenção de repente.
Aqueles que adotarem antes dos concorrentes terão uma vantagem esmagadora se a tecnologia der resultado e receberão clemência quando (não se) derem um passo em falso no início da curva de adoção. “O espaço está no início de sua evolução e todos nós estamos aprendendo, mas aqui na <ACME> continuamos líderes neste emocionante e competitivo…” A IA generativa provavelmente escreverá o comunicado à imprensa e os mercados esquecerão rapidamente a cratera de fumaça enquanto recompensam a próxima iteração como as muitas manchetes sobre segurança do consumidor e violação de dados às quais nos acostumamos.
Assim como a nuvem pública, a adoção ocorrerá independentemente de preocupações jurídicas, de TI, de segurança e de conformidade. Para os pioneiros, a adoção será direta, incorporando IA em seus processos e produtos. Isso impulsionará a adoção indireta para os negócios do tipo "esperar para ver", pois eles usarão software ou SaaS que tenham IA incorporada, quer saibam disso ou não, o que significa que seus dados entrarão nesses sistemas, caso ainda não o tenham feito. Alguns deles serão óbvios, como empresas de tecnologia que aceitam riscos rapidamente e avaliam as consequências após a implantação, mas o risco mais difícil de gerenciar para os programas de segurança serão as aplicações de IA abaixo da linha d'água, como aquelas que já vimos em finanças e seguros. Continuamos a ver evidências na análise de violações de que o gerenciamento de risco de terceiros não consegue inventariar adequadamente o uso de dados downstream e os subprovedores de serviços abaixo da linha d'água, especialmente para classificações de dados menos regulamentadas que não se enquadram no escopo de normas como GDPR, HIPAA e outras, portanto, os programas de segurança provavelmente também não saberão ou entenderão o uso de IA em sua cadeia de suprimentos de fornecedores.
Dada a atenção que o ChatGPT gerou com sua usabilidade e desempenho, a probabilidade de um funcionário ter enviado alguma informação proprietária ou confidencial da sua empresa para o ChatGPT está se aproximando de 100%. Parabéns, sua empresa adotou IA generativa, mesmo que você tenha pedido aos funcionários para não fazê-lo . Esse sentimento deve ser familiar porque é provável que você tenha se sentido assim quando viu alguém da engenharia passar o cartão de crédito para implantar o novo aplicativo da equipe na nuvem pública e ser recompensado pela empresa pelo menor tempo de colocação no mercado, pela abordagem inovadora e pela adoção de tecnologia de ponta. Na maioria dos ambientes atuais, pedir a uma equipe de tecnologia para não usar a nuvem pública é como pedir a um funcionário para não usar a pesquisa do Google em seu trabalho diário.
É aqui que a segurança deve se antecipar à adoção e orientá-la por um caminho adequado ao risco, usando sua experiência no assunto para ajudar seus pares a desenvolver uma tese de investimento adequada ao risco, um modelo de maturidade e um roteiro antes que terceiros e reguladores tentem prescrever sua própria abordagem. Antes de mergulhar nas profundezas da Estrutura de Gerenciamento de Riscos de Inteligência Artificial (AI RMF 1.0) do NIST e realizar uma análise de lacunas em suas práticas atuais, aqui estão alguns exemplos de conversas iniciais que as equipes de segurança devem explorar internamente e com seus colegas:
Nenhuma dessas perguntas menciona ChatGPT ou IA. Elas são geralmente iniciadores de conversa razoáveis para qualquer programa de segurança baseado em risco para avaliar tecnologias iniciais antes da adoção, seja traga seu próprio dispositivo (BYOD), nuvem pública, contêineres, aprendizado de máquina ou, eventualmente, IA. Essa não foi a abordagem que muitas equipes adotaram com a nuvem pública, e elas foram pegas desprevenidas e desavisadas quando perceberam o quanto ela era usada direta e indiretamente em suas organizações. Os agentes de ameaças não demoraram a se adaptar, pois aprenderam e exploraram as propriedades da nuvem pública mais rápido do que a maioria dos consumidores — toda tecnologia é de uso duplo.
A direção e a adoção da tecnologia são difíceis ou impossíveis de prever, mas é previsível que elas continuarão acelerando . Se a iteração atual ou futura da IA bater em um muro e parar de avançar, ou se a IA se mostrar inviável em escalas técnicas maiores ou por razões de custo, ela já terá alcançado um estado utilizável e de investimento para as empresas. Se a IA não bater em uma parede, ela provavelmente se tornará um investimento esperado e um meio de interagir com dados, produtos e negócios, como já vimos acontecer em vendas, marketing, saúde e finanças. Portanto, é uma realidade atual — não futura — que as equipes de segurança devem lidar com a forma de desenvolver suas práticas de segurança de dados e gerenciamento de riscos de terceiros para lidar com essa tecnologia. Eles precisam acompanhar e se antecipar à adoção já crescente para não terem que reviver a experiência da nuvem pública correndo à frente da segurança da nuvem.